Tabla de contenidos
De Algemene Verordening Gegevensbescherming (GDPR) bevat grote veranderingen voor de positie van de verwerkingsverantwoordelijken van persoonsgegevens die vanaf 25 mei 2018 een proactieve verantwoordelijkheid hebben bij die verwerking.
Het is echter geen eenvoudige taak om aan alle noodzakelijke maatregelen van deze strenge wetgeving te voldoen en dit ook te kunnen bewijzen wanneer het nodig is.
In deze post geven we enkele tips en hulpmiddelen om deze taak gemakkelijker te maken voordat de verordening van kracht is op 25 mei.
GDPR: bedrijven voldoen nog altijd niet aan de nieuwe verordening
Ondanks dat de verordening in april 2016 al is goedgekeurd en iedereen dus de tijd had om zich aan te passen, denkt slechts 46% van de wereldwijd ondervraagden dat ze voor 25 mei zullen voldoen volgens een onderzoek van SAS. In Europa ligt dit percentage niet veel hoger, daar verwacht 53% van de ondervraagde bedrijven de deadline te halen.
Deze cijfers zijn niet buitensporig aangezien er veel belangrijke wijzigingen zijn vastgelegd in de verordening voor leidinggevenden en managers die persoonsgegevens verwerken als onderdeel van hun processen.
Waar begint het voldoen aan de GDPR?
De leidende beginselen van deze hervorming zijn verantwoordelijkheid, preventie en transparantie. Met deze principes in ons achterhoofd geven we de volgende adviezen om aan deze verordening te voldoen:
1. De benoeming van een afgevaardigde
Bepaalde bedrijven worden door de GDPR verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Deze persoon zal verantwoordelijk zijn voor het adviseren, beheren en controleren van alles dat gerelateerd is aan de verordening voor gegevensbescherming in een bedrijf, alsook het fungeren als schakel tussen het bedrijf en de AP (Autoriteit Persoonsgegevens).
Wanneer de benoeming van een FG niet vereist is zouden wij aanbevelen om een interne manager aan te stellen om de rest van het team te trainen en een gespecialiseerde juridisch-technische dienst in te huren voor het oplossen van bepaalde kwesties.
2. Beveiligingsmaatregelen
Zorg dat er beveiligingsmaatregelen worden ontwikkeld en geïmplementeerd in de gehele infrastructuur om mogelijke inbreuken op de gegevensbeveiliging te voorkomen. Een goed preventief systeem minimaliseert de mogelijke risico’s.
Bescherm bijvoorbeeld naast de netwerken en de cloud ook alle apparatuur en smartphones. Deze apparaten worden voor veel verwerking en creatie van nieuwe informatie gebruikt en zijn daarom de belangrijkste doelwitten voor cybercriminelen.
Controleer bovendien ook of leveranciers net zo verantwoordelijk omgaan met hun systemen en procedures, aangezien de uitbesteding van diensten geen vrijstelling is voor de verantwoordelijkheden.
Gerelateerde post > De nieuwe Algemene Verordening Gegevensbescherming (GDPR): wat moet je weten?
3. Gegevensaudits
Je moet precies weten welke persoonsgegevens je verwerkt, hoe je deze verzamelt en hoe deze worden overgedragen, opgeslagen en verwerkt. Je moet ook weten wie er toegang heeft tot dergelijke gegevens, inclusief derden en medewerkers en of er een risico bestaat op misbruik of ongeoorloofde toegang.
Zodra dit alles is geïdentificeerd moet alle onnodige informatie worden verwijderd om de principes van gegevensminimalisatie te respecteren, waardoor er alleen persoonsgegevens worden verwerkt die voor het aangegeven doel zijn verzameld (artikel 5.1.c)
4. De manieren voor gegevensverwerking aanpassen aan de GDPR
Hoe kunnen mensen legaal hun toestemming geven? Dit is de tweede vraag die je moet kunnen beantwoorden. Zodra de GDPR van kracht wordt moeten alle individuen hun toestemming op een vrije, geïnformeerde, specifieke en ondubbelzinnige wijze kunnen geven wanneer de rechtmatige verwerking hierop gebaseerd wordt.
Volgens de GDPR is toestemming pas ondubbelzinnig wanneer het wordt verleend door middel van een «actieve bevestigende handeling» die getuigt van de instemming van de belanghebbende. Daarom moeten bedrijven de manier waarop zij toestemming verkrijgen herzien en de toestemmingen ook registreren zodat die kunnen worden gecontroleerd voorafgaand aan een audit.
5. Nieuwe rechten voor burgers
Een ander aspect dat in orde moet zijn is welke procedure er gevolgd wordt wanneer een persoon wil dat zijn gegevens worden verwijderd of overgedragen. Deze rechten zijn onderdeel van de GDPR: het recht op gegevensoverdracht en het zogenaamde recht op gegevenswissing (vergetelheid).
Vanaf 25 mei hebben betrokkenen het recht om hun persoonsgegevens rechtstreeks over te dragen, bijvoorbeeld aan andere dienstverleners waarmee de betrokkene een relatie heeft. Ze kunnen ook voorkomen dat hun persoonsgegevens via internet worden verspreid wanneer de publicatie ervan niet aan de vereisten voldoet.
6. Vermelding van inbreuken op de veiligheid
De nieuwe verordening stelt de verplichting om na het bekend worden van een inbreuk op de gegevensbeveiliging dat binnen 72 uur aan de bevoegde autoriteit van het betreffende land te vermelden.
Daarom is het van groot belang om een communicatieplan voor het bedrijf op te stellen en te zorgen dat alle professionals op de hoogte zijn wanneer zich een storing in het beveiligingssysteem voordoet.
7. Herzie de privacykennisgeving
De verordening versterkt de informatie die bedrijven aan belanghebbende partijen moeten verstrekken. Daarom moeten bedrijven hun privacykennisgeving herzien.
Die kennisgeving moet bijvoorbeeld de rechtsgrondslag bevatten waarop zij de verwerking van de gegevens baseren, de bewaartermijnen daarvan, alsook de beschikbare mechanismen voor de uitoefening van het recht van vergetelheid.
Daarbij is het belangrijk om te onthouden dat de verordening vereist dat de aangeboden informatie gemakkelijk te begrijpen is en dus in beknopte en duidelijke taal gepresenteerd moet worden.
Conclusie
We hopen dat wanneer de verordening definitief van toepassing zal zijn de meeste bedrijven overeenkoming kunnen aantonen, zowel aan hun eigen klanten als aan de nationale en Europese toezichthoudende autoriteiten.
Om dit te bereiken is het belangrijk dat bedrijven in deze laatste fase alle nodige middelen inzetten om zich aan te passen aan de nodige wettelijke, technische en organisatorische maatregelen voor de rechtmatige verwerking van persoonsgegevens.
Als u vragen heeft over hoe u toestemming van uw klanten kunt krijgen voor het verzamelen en verwerken van hun gegevens, kunt u hieronder de gids downloaden waarin we in meer detail onze oplossingen uitleggen om te voldoen aan deze verordening. Voor meer informatie kunt u ook contact opnemen via [email protected] of ons bellen op +31 208 086 203.